Wat organisaties in productie, logistiek, financiële dienstverlening en de publieke sector ons leren.
De afgelopen jaren hebben we gezien hoe een pandemie wereldwijde toeleveringsketens ontwrichtte This link opens in a new tab, een software-update luchtvaartmaatschappijen aan de grond hield This link opens in a new tab en ziekenhuizen platlegde, en een stroomstoring This link opens in a new tab binnen 90 seconden zorgde dat 47 miljoen mensen zonder stroom zaten. Geen hypothetische scenario’s, maar échte gebeurtenissen die één ding duidelijk maakten: de meeste organisaties zijn minder weerbaar dan ze denken.
Daarom reageert ook de Europese regelgeving. Nu NIS2 en de Critical Entities Resilience Directive (CER) op EU-niveau van kracht zijn en in de meeste lidstaten zijn omgezet, is resilience een wettelijke eis geworden voor leiders in kritieke sectoren. Belangrijk detail: elke door de CER aangewezen kritieke entiteit valt ook onder NIS2. We kunnen het fysieke en het digitale aspect ervan niet langer als losse elementen zien. De vraag is niet meer óf resilience ertoe doet, maar of jouw aanpak het houdt wanneer (en niet áls) de volgende verstoring zich aandient.
Bij Eraneos helpen we organisaties in heel Europa met resilience, en wat dat in de praktijk betekent. Wat we steeds terugzien: er is geen kant-en-klare oplossing voor effectieve weerbaarheid, en je kunt het niet puur technisch oplossen. Echte waarde ontstaat door mensen. Technologie helpt daarbij zeker, maar is niet allesbepalend. Technologie werkt alleen als het een helder doel dient en wordt omarmd door de mensen die het leiden, ermee werken en erop vertrouwen.
Om organisaties hierin te helpen, kijken we naar resilience vanuit vier dimensies die met elkaar samenhangen: Strategische soevereiniteit, Cyber resilience, Operationele continuïteit en Ecosysteemsamenwerking.
Hier zijn vijf lessen van organisaties die dit in de praktijk brengen.
1. Test je crisisrespons voordat een echte crisis dat doet
Dimensie: Operationele continuïteit
Een internationale productieonderneming had uitgebreide crisisplannen. Die zagen er op papier solide uit, maar ze waren nooit echt getest. Niemand wist hoe het managementteam of de verschillende bedrijfsonderdelen in realtime zouden reageren op een ernstig beveiligingsincident.
Dat moest anders. De organisatie ontwikkelde eigen end-to-end incidentscenario’s die de hele levenscyclus van een verstoring bestrijken, van het eerste signaal via crisisbeheer onder druk tot herstel achteraf. Met live simulaties oefenden managementteams het nemen van moeilijke besluiten met onvolledige informatie, de afstemming tussen afdelingen en de communicatie met stakeholders onder tijdsdruk.
De les:
Een ongetest crisisplan is slechts een aanname op papier. Organisaties die investeren in realistische simulaties vinden kritieke blinde vlekken voordat die leiden tot echte problemen. Ze bouwen het organisatorische spiergeheugen en het zelfvertrouwen op dat nodig is om goed te handelen. Echte weerbaarheid zit niet in een document, maar in het gedrag van je mensen.
2. Weet wat je absoluut niet kunt missen
Dimensie: Operationele continuïteit
Een grote logistieke dienstverlener draaide volledig op eigen infrastructuur. Dat had jarenlang voor stabiliteit gezorgd, maar het creëerde ook een risico: één catastrofale lokale gebeurtenis kon het hele bedrijf stilleggen, zonder goede uitwijkmogelijkheid.
In plaats van alles te dupliceren, definieerde de organisatie een Minimum Viable Company (MVC): de kleinste set systemen, applicaties, processen en mensen die nodig is om het bedrijf draaiende te houden na een ramp. Die MVC werd niet alleen beschreven, het werd gebouwd, geprioriteerd en getest, zodat het direct kan worden geactiveerd als dat nodig is.
De les:
Deze aanpak gaat verder dan traditionele disaster recovery. Het dwingt een gesprek af op directieniveau: welke processen moeten absoluut doordraaien, en wie heeft de kennis om dat voor elkaar te krijgen? De MVC-aanpak brengt helderheid in welke middelen je nodig hebt en laat vaak zien waar de echte kwetsbaarheden zitten.
Hoe goed ben je voorbereid op een verstoring?
3. Resilience op maatschappelijke schaal vraagt om een brede aanpak
Dimensie: Ecosysteemsamenwerking
Een grote Europese overheidsinstantie keert elke maand miljarden euro’s uit aan miljoenen burgers. Door verwachte demografische veranderingen gaat de vraag flink toenemen, en de instelling moet absoluut betrouwbaar blijven onder die groeiende druk.
Een kleinschalige aanpak van alleen bepaalde onderdelen, bijvoorbeeld alleen IT-infrastructuur of wet- en regelgeving, zou niet voldoende zijn. In plaats daarvan ontwierp de instelling een breed resilience-programma. Dit framework richt zich op zowel soevereiniteit in inkoop, bedrijfscontinuïteit voor kernprocessen, geavanceerde cyberbeveiliging en een AI-roadmap om mensen voor te bereiden op de toekomst.
De les:
Als jouw organisatie onderdeel is van kritieke infrastructuur, is weerbaarheid meer dan een interne kwestie. Het wordt een maatschappelijke verantwoordelijkheid. Zoals we recent zagen bij fysieke aanvallen op onderzeese kabels in de Oostzee This link opens in a new tab of ransomware zoals NotPetya This link opens in a new tab: één verstoring kan in een klap hele ecosystemen raken. Organisaties die dat vroegtijdig inzien, bouwen sterkere, toekomstbestendige architecturen die zowel henzelf als het bredere systeem beschermen.
4. Digitale soevereiniteit is een strategische keuze, geen technische
Dimensie: Strategische soevereiniteit
Een wereldwijde fabrikant met hoofdkantoor in Zwitserland realiseerde zich dat hun activiteiten wereldwijd sterk afhankelijk waren van buitenlandse digitale platforms en clouddiensten. Met de toename van geopolitieke spanningen wilde de organisatie die externe afhankelijkheden beter kunnen beheersen.
Het bedrijf stelde heldere doelen voor digitale soevereiniteit, bracht afhankelijkheden van derden in kaart en identificeerde waar risico’s zich concentreerden. Dat leidde tot een IT- en inkoopstrategie die nu als kompas dient voor alle toekomstige keuzes op technologie- en inkoopgebied.
De les:
Digitale soevereiniteit gaat niet over muren bouwen of niet meer werken met een modern cloudsysteem. Het gaat om bewuste keuzes maken: waar liggen je data, wie beheert je infrastructuur en wat zijn je opties als de geopolitieke situatie verandert? Als je die grenzen vroeg helder hebt, versnelt dat juist technologische adoptie.
5. Een veilige cloudbasis is het fundament voor resilience
Dimensie: Cyberresilience
Een Europese financiële dienstverlener bereidde een grote cloudmigratie voor en kreeg te maken met strenge eisen rond databeveiliging, privacy en architectuur. De druk om snel te schakelen was groot, maar zonder sterke beveiliging zou de migratie bestaande kwetsbaarheden alleen maar meenemen, of zelfs versterken.
De organisatie investeerde fors in een uitgebreid cloudgovernance-model vóórdat de migratie begon. Dat omvatte diepgaande risicobeoordelingen, een beveiligingsraamwerk op maat voor de financiële sector en geautomatiseerde compliancecontroles die pasten bij de specifieke context.
De les:
Cloudmigratie wordt vaak verkocht als efficiëntiestap. Voor leiders die resilience belangrijk vinden, is het vooral een keuze over governance en beveiliging. Door de basis vanaf dag één goed neer te zetten, voorkom je dure reparaties achteraf en bouw je direct vertrouwen op bij toezichthouders en stakeholders.
De rode draad: weerbaarheid is meer dan één ding
Wat deze vijf voorbeelden gemeen hebben: geen van deze organisaties behandelde resilience als losstaand probleem. Of het nu ging om een crisissimulatie, cloudmigratie of soevereiniteitsbeoordeling, de beste resultaten werden behaald toen leiders weerbaarheid vanuit meerdere kanten tegelijk aanpakten.
Data en AI speelden vaak een belangrijke rol, maar het menselijke aspect bleef de ultieme katalysator: organisaties duidelijkheid geven, vertrouwen opbouwen tussen teams en zorgen dat technologie altijd een helder doel dient. Zo werken wij bij Eraneos: we zoeken de samenwerking op met klanten die het digitale en het menselijke als twee kanten van dezelfde medaille zien. Resilience is voor ons geen afvinklijstje of verdedigende taak. Het is een concurrentievoordeel. Een nieuwe manier van vooruitgang, gedreven door waarden en gericht op impact.
Onze Resilience Diagnostic geeft je in vier tot zes weken inzicht in je maturiteit, een analyse van regelgevingslacunes (NIS2/CER) en een geprioriteerde roadmap. Neem contact op via eraneos.com/contact This link opens in a new tab.